“Nella società digitale, noi siamo i nostri dati e la vulnerabilità dei dati è vulnerabilità delle persone”. Lo ha detto oggi Antonello Soro, presidente dell’Autorità Garante della Privacy (qui il discorso del presidente Soro) alla presentazione della Relazione 2014 che si è tenuta alla Camera. Relazione durante la quale Soro ha lanciato un monito al Governo contro l’”indebita profilazione dei lavoratori”, in relazione alle polemiche sulle novità previste nel Jobs Act in materia di controllo a distanza sui lavoratori tramite smartphone e tablet.
No a controlli invasivi nei rapporti di lavoro
“E’ auspicabile che il decreto legislativo all’esame delle Camere sappia ordinare i cambiamenti resi possibili dalle innovazioni in una cornice di garanzie che impediscano forme ingiustificate e invasive di controllo, nel rispetto della delega e dei vincoli della legislazione europea”.
“Nei rapporti di lavoro – ha detto Soro – il crescente ricorso alle tecnologie nell’organizzazione aziendale, i diffusi sistemi di geolocalizzazione e telecamere intelligenti hanno sfumato la linea – un tempo netta – tra vita privata e lavorativa. Un più profondo monitoraggio di impianti e strumenti non deve tradursi in una indebita profilazione delle persone che lavorano. Occorre sempre di più coniugare l’esigenza di efficienza delle imprese con la tutela dei diritti”, ha aggiunto il Garante.
Un appello, quello di Soro, raccolto anche dalla presidente della Camera, Laura Boldrini: “Mi auguro che nelle prossime settimane, durante l’esame parlamentare, ci sia la possibilità di aprire un confronto che faccia chiarezza sui dubbi emersi”, ha detto Boldrini alla presentazione della Relazione annuale dell’Autorità. “Mi riferisco – ha aggiunto – allo schema di uno dei decreti attuativi del jobs act varati dal governo la settimana scorsa, quello riguardante l’uso di strumenti di lavoro come personal computer, smartphone, tablet”.
Il discorso di Antonello Soro
Il discorso di Soro ha toccato poi i nodi più controversi della Privacy: dalle intercettazioni ai rischi per i minori online, al terrorismo digitale al diritto all’oblio passando per la trasparenza della PA, “che deve essere preservata da effetti distorsivi e da “opacità per confusione” che rischia di caratterizzarla
Diritto all’oblio
“La procedura per un corretto esercizio del diritto all`oblio è stata incardinata e costringe i motori di ricerca (Google ndr) a porsi come nostri interlocutori spingendoli a confrontarsi con problematiche complesse che non trovano soluzione soltanto nella tecnologia. In questo primo anno, le richieste di oblio sono state respinte nel 73% dei casi, secondo criteri e valutazioni che il Garante, adito successivamente al rigetto, ha generato e condiviso. Abbiano tracciato un sentiero, dimostrando come la protezione dei dati possa davvero essere la chiave – avverte – attraverso la quale presidiare le complessità dello spazio digitale”.
Minori e Internet
“Oltre al diritto alla rete, dobbiamo garantire, in rete, i diritti di tutti. In primo luogo dei minori, vittime elettive di un uso distorto del web, perché non hanno gli strumenti per capire fino a che punto e con quali rischi esporre la propria vita, anche intima, agli altri. La rete, paradossalmente, è il luogo in cui la fragilità dei minori emerge con maggior forza – sottolinea – in questo iato tra illusione di autonomia e introiezione di regole, esperienza della libertà ed esercizio di responsabilità. La rete è anche il luogo in cui, nella presunzione di anonimato, minori violano altri minori. E proprio questo è forse, l`aspetto più tragico dell`uso violento della rete”.
Terrorismo: no a sorveglianza massiva
“Un’efficace prevenzione del terrorismo dovrebbe selezionare, con intelligenza, gli obiettivi ‘sensibili’ in funzione del loro grado di rischio e fare della protezione dati una condizione strutturale di difesa della minaccia cibernetica, ame abbiamo sottolineato anche al Comitato di Schengen. È quanto abbiano più volte sostenuto – avverte – in primo luogo rispetto all`attività d’intelligence, soprattutto strategica, che come ha segnalato il Consiglio d’Europa, ha un raggio di azione assai più ampio e meno `puntuale` di quella tradizionale, suscettibile quindi di degenerare, se non limitato ad obiettivi realmente ‘sensibili’, in sorveglianza massiva”.
Gli interventi più rilevanti nel 2014
La sorveglianza di massa e i problemi posti dal terrorismo, anche informatico; il mondo della Rete e i social media; il ruolo giocato dai grandi provider e la profilazione online; la trasparenza della Pa online e le garanzie da assicurare ai cittadini; il fisco e la tutela delle riservatezza dei contribuenti; l’uso delle nuove tecnologie sul posto di lavoro; la protezione dei dati usati a fini di giustizia; il telemarketing selvaggio; i diritti dei consumatori; le banche dati pubbliche e private; il mondo della scuola; la sanità elettronica; i partiti e i movimenti politici; la conservazione dei dati di traffico telefonico e telematico: sono stati questi alcuni dei principali campi di intervento del Garante privacy nel 2014.
Particolare importanza ha assunto il lavoro svolto per assicurare la tutela della protezione dei dati in Rete. Il Garante italiano, primo tra i Garanti europei, ha dato prescrizioni a Google per rendere conforme la sua privacy policy alle norme italiane, ottenendo da Mountain View l’accettazione di un protocollo per verificare l’attuazione delle prescrizioni.
Ha definito un modello semplificato di raccolta del consenso per l’uso trasparente dei cookie da parte dei siti. Ha condotto indagini sulle app mediche. Ha stabilito le regole per tutelare gli tenti che utilizzano il pagamento elettronico a distanza (mobile payment). Ha dettato misure ai gestori dei nodi di interscambio dei dati Internet (IXP).
E’ stato inoltre ulteriormente rafforzato il diritto delle persone a vedere aggiornati gli archivi giornalistici on line e si sono definiti, a seguito della sentenza della Corte di giustizia europea su Google, i principi per l’accoglimento delle richieste di tutela del diritto all’oblio su Internet.
Il Garante è intervenuto per dare indicazioni sul corretto uso degli smartphone e tablet aziendali in dotazione ai lavoratori e per assicurare tutele nel mercato del lavoro online.
Sono state emanate le Linee guida in materia di utilizzo dei dati biometrici a fini di controllo degli accessi, per l’autenticazione degli utenti (anche su pc e tablet) o per la sottoscrizione di documenti informatici.
Per garantire un corretto rapporto tra trasparenza della Pa e riservatezza dei cittadini sono state adottate le Linee guida sulla pubblicazione di atti e documenti on line e sanzionate le violazioni della dignità delle persone.
Una particolare azione è stata intrapresa per aumentare il livello di sicurezza della Pa digitale.
Rilevante anche l’impegno nel dettare regole per ridurre drasticamente il fenomeno delle cosiddette “telefonate mute” e per la tutela degli abbonati telefonici contro il telemarketing aggressivo (con prescrizioni e sanzioni adottate nei confronti di società che operano nel settore).
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca, con particolare riguardo a quella giudiziaria e alla divulgazione di atti di indagine, in grado di provocare gravi danni alla dignità delle persone, anche minori.
Le cifre
Nel 2014 sono stati adottati 628 provvedimenti collegiali.
L’Autorità ha fornito riscontro a 4.894 tra quesiti, reclami e segnalazioni con specifico riferimento ai seguenti settori: marketing telefonico (in forte aumento); credito al consumo; videosorveglianza; recupero crediti; assicurazioni; rapporti di lavoro; giornalismo; condominio.
Sono stati decisi 306 ricorsi, riguardanti soprattutto banche e società finanziarie; datori di lavoro pubblici e privati; attività di marketing; editori (anche televisivi); compagnie di assicurazione, operatori telefonici e telematici; informazioni creditizie; amministrazioni condominiali.
I pareri resi dal Collegio al Governo e Parlamento sono stati 22 ed hanno riguardato, in particolare, il processo telematico; l’informatizzazione delle banche dati della Pa; l’attività di polizia e sicurezza nazionale.
Sono state effettuate 385 ispezioni, svolte anche grazie all’ausilio del Nucleo privacy della Guardia di Finanza, che hanno riguardato settori particolarmente delicati: laboratori di analisi; società farmaceutiche; app mediche; sistema informativo della fiscalità; gestori dei nodi di interscambio dei dati Internet (Ixp); sim card telefoniche intestate illecitamente; banche; grandi alberghi; società che gestiscono i sistemi di mobile payment; importanti gruppi di intermediazione immobiliare; operatori telefonici e call center.
Le violazioni amministrative contestate sono state 577: una parte consistente ha riguardato il trattamento illecito dei dati, legato principalmente al marketing telefonico e all’uso dei dati personali senza consenso; alla omessa comunicazione, agli interessati e al Garante, di violazioni subite dalle banche dati di gestori di telefonia e comunicazione elettronica (data breach); all’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali; alla conservazione eccessiva dei dati di traffico telefonico e telematico; alla mancata adozione di misure di sicurezza; all’omessa esibizione di documenti al Garante; all’inosservanza dei provvedimenti dell’Autorità.
Le sanzioni amministrative riscosse ammontano a circa 5 milioni di euro.
Le violazioni segnalate all’autorità giudiziaria sono state 39, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati.
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 33.200 quesiti, che hanno riguardato, in particolare, le problematiche legate alle telefonate promozionali indesiderate; a Internet; alla pubblicazione di documenti da parte della Pa; alla videosorveglianza; al rapporto di lavoro.
L’attività internazionale
Non meno rilevante e intensa l’attività del Garante a livello internazionale. A partire da quella svolta nel Gruppo delle Autorità per la privacy europee (Gruppo Articolo 29), del quale Antonello Soro è Vice presidente. Numerosi i pareri e i documenti adottati: Internet delle cose; nuovi sistemi di profilazione, come il fingerprinting; Big data; tecniche di anonimizzazione dei dati personali; data breach; droni; sorveglianza delle comunicazioni a fini di intelligence; Pnr (dati dei passeggeri aerei); regole per il trasferimento dei dati all’estero; applicazione della sentenza della Corte di giustizia dell’Ue in materia di diritto all’oblio (Caso Google-Costeja).
Particolare importanza ha assunto l’attività della task force costituita nei confronti di Google, per rendere conforme la sua privacy policy alle norme europee.
I Garanti europei si sono occupati della riforma del quadro giuridico europeo in materia di protezione dati (il Regolamento che sostituirà la Direttiva del 1995) e della Direttiva che dovrà disciplinare il trattamento di dati per finalità di giustizia e di polizia.
In quest’ambito, il Garante ha seguito costantemente il dibattito sulla revisione del quadro normativo europeo, in particolare partecipando quale esperto tecnico alle riunioni del competente Gruppo di lavoro (DAPIX) del Consiglio dell’Unione europea.
Da ricordare anche l’attività del Garante italiano per il Consiglio d’Europa – che sta rivedendo la Convenzione del 1981 sulla protezione dei dati e ha pubblicato nuove Raccomandazioni sui trattamenti di dati personali nel contesto lavorativo – e quella svolta in seno ad altri gruppi di lavoro (anche OCSE).
Intenso, infine, il lavoro svolto nell’ambito delle Autorità di controllo Schengen, Europol, Eurodac.
